Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
El ecosistema de Ciberseguridad
en Colombia: retos y oportunidades
de la Banca Digital
EstudNET- Universidad Pontificia Bo...
Entidad que tiene como misión la formación integral de personas,
mediante la evangelización de la cultura, la búsqueda de ...
El Grupo de Investigación en Empresa, TIC y Educación
(GeeTIC) , Seccional Bucaramanga de la Universidad
Pontificia Boliva...
Agenda
Ecosistema de Ciberseguridad en Colombia
– Proyecto ONC_COL
– ECC: Definición, metodología, valor aportado.
– Análi...
Ecosistema de
Ciberseguridad en
Colombia
Jorge Máquez, CEO EstudNET @jmarquezpacios
Ing. Angélica Flórez, UPB Seccional Bu...
Estudio de Viabilidad para la Creación de un
Observatorio Nacional de Ciberseguridad de
Colombia (ONC_COL)
Septiembre 9 de...
Estudio de viabilidad de la creación de un Observatorio
Nacional de Ciberseguridad en Colombia
Convocatoria 668 Colciencia...
Análisis del Ecosistema
Ciberseguridad y
Ciberdefensa en
Colombia identificación de
capacidades no cubiertas,
las razones ...
Componentes del Ecosistema de
Ciberseguridad en Colombia
Amenazas
Activos Capacidades
Relaciones
Entidades
Ecosistema de
C...
Entidades del Ecosistema de
Ciberseguridad de Colombia
Sector PúblicoSector Público
Infraestructura CríticaInfraestructura...
Entidades ECC
SECTOR PÚBLICOSECTOR PÚBLICO
Entidades e instituciones del Estado de
Colombia, de naturaleza pública, que ti...
Entidades ECC
Conjunto de pequeñas, medianas y grandes
empresas que hacen parte del eje productivo
de la industria y de to...
Entidades ECC
Conjunto de personas naturales residentes en
territorio colombiano.
CIUDADANÍACIUDADANÍA
Entidades ECC
Entidades que prestan servicios esenciales los
cuales son considerados como estratégicos
del país. Ej: Servi...
Entidades del ECC
Instituciones que realizan innovación e
investigación en materia de Ciberseguridad,
tales como universid...
Entidades ECC
Personas naturales o jurídicas que intentan
acceder, interceptar o dañar un sistema
informático afectando la...
Entidades ECC
Sector Público
Presidente Congreso
Cancillería
MinTIC
MinDefensa
MinJusticia
MinHacienda
MinCITCCOC CCP
ColC...
Gran Empresa
Infraestructuras Críticas
Contratista
TIC
Independiente
PYME Financiera
Entidades ECC
Sector Privado
Centros de InvestigaciónCentros de Investigación
Centros de Innovación e
Investigación
Think Thank
Centros de ExcelenciaAc...
AtacantesAtacantes
Empresas CompetidorasEmpresas Competidoras
ContratistaContratista
Grupo TerroristaGrupo Terrorista
Hack...
Fortalecimiento de las capacidades
MEDIDAS
ORGANIZA.
• Agencia coordinadora
• Visión integral
• Marco institucional claro
...
Fortalecimiento de las capacidades
MEDIDAS
LEGALES
• Adhesión al Convenio Budapest
• Normativa que armonice la inteligenci...
Visión del ECC en el sector financiero
Jorge Márquez, CEO EstudNET
@jmarquezpacios
Consultor internacional Colciencias nº ...
Cliente
centro
ECC Financiero
Operadores
Infraestructuras
Críticas
Actores: “buenos, malos y reguladores”
Empleados
Colabo...
Cliente
Operadores
Infraestructuras
Críticas
Empleados
ColaboradoresProveedores
Socios
Cibercriminales
Bandas
Crimínales
O...
Datos
personales
Clientes, Empleados,
Colaboradores
Activos
financieros
Clientes,
Entidad
financiera
Activos en riesgo
Dat...
Datos
personales
Clientes, Empleados,
Colaboradores
Activos
financieros
Clientes,
Entidad
financiera
Amenazas
Datos
financ...
Evaluación y construcción
de capacidades de Ciberseguridad
en el sector financiero
Capacidades en Ciberseguridad
Índice Mundial de Ciberseguridad (IMC), de la Unión
Internacional de Telecomunicaciones (UIT...
31
¿Cual es el grado de preparación de Colombia?
Colombia ocupa el 9º lugar a nivel mundial. IMC 2014
32
¿Cuáles son las capacidades clave?
Medidas Organizativas 0,750
• Política
• Hoja de Ruta
• Organismo responsable
• Anál...
Voz del Cliente:
percepción de riesgos a la seguridad y la
privacidad
¿Cual es la percepción del consumidor?
10
¿Canales bancarios más vulnerables?
Mejores practicas para el
fortalecimiento de capacidades
Visión
Sistema de gestión integrado
Análisis de Riesgos
Métricas
BYOD
Alcance
• Localizaciones, Uds. Organizativas
• Activ...
Visión
Competencias clave
Modelo recursos int. vs externo
Desarrollo seguro
Alcance
• Evaluación de competencias
• Captaci...
Visión
Enfoque Negocio
Análisis y evaluación
Controles
Métricas
Alcance
• Estrategias de gestión de riesgos
• Inversión vs...
Visión
Resiliencia
Compromisos de recuperación
Riesgo legal y reputacional
Alcance
• Planes de contingencia
• Ejercicios y...
“¿Cómo“¿Cómo“¿Cómo“¿Cómo podemos utilizar lapodemos utilizar lapodemos utilizar lapodemos utilizar la
tecnología paratecno...
Ecosistema Ciberseguridad Colombia: Retos Banca Digital
Ecosistema Ciberseguridad Colombia: Retos Banca Digital
Nächste SlideShare
Wird geladen in …5
×

Ecosistema Ciberseguridad Colombia: Retos Banca Digital

835 Aufrufe

Veröffentlicht am

Ponencia de EstudNET y la Univ. Pontificia Bolivariana. VII Feria Tecnología BANCOLOMBIA Medellín, Octubre 2015

Veröffentlicht in: Technologie
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

Ecosistema Ciberseguridad Colombia: Retos Banca Digital

  1. 1. El ecosistema de Ciberseguridad en Colombia: retos y oportunidades de la Banca Digital EstudNET- Universidad Pontificia Bolivariana
  2. 2. Entidad que tiene como misión la formación integral de personas, mediante la evangelización de la cultura, la búsqueda de la verdad, en los procesos de docencia, investigación, proyección social y la reafirmación de los valores desde el humanismo cristiano, para el bien de la sociedad. Consultora española especializada en ayudar a las Empresas e Instituciones públicas a mejorar y acreditar los sistemas y procesos de Seguridad de la Información y de desarrollo del software, integrada por profesionales con amplia experiencia.
  3. 3. El Grupo de Investigación en Empresa, TIC y Educación (GeeTIC) , Seccional Bucaramanga de la Universidad Pontificia Bolivariana, con el apoyo experto de EstudNET, ha resultado seleccionada participado en la Convocatoria nº 668 de Colciencias en colaboración con el MinTIC, para “el fortalecimiento de la ciberseguridad en instituciones del estado”, para la realización del proyecto “Estudio de Viabilidad para la Creación de un Observatorio Nacional de Ciberseguridad de Colombia (ONC_COL)”. Esta ponencia presenta, por primera vez en un foro bancario, el modelo de Ecosistema de Ciberseguridad en Colombia (ECC), una de los principales aportaciones del proyecto y, como novedad, lo particulariza para la Banca Digital.
  4. 4. Agenda Ecosistema de Ciberseguridad en Colombia – Proyecto ONC_COL – ECC: Definición, metodología, valor aportado. – Análisis de las capacidades de Ciberseguridad en Colombia: avances, retos y oportunidades. Visión del ECC del sector financiero – Caracterización: actores, activos, riesgos y amenazas – Voz del Cliente: percepción de riesgos a la seguridad y la privacidad de la información – Modelos de evaluación y construcción de capacidades – Mejores practicas para el fortalecimiento de capacidades Participación: preguntas e intercambio de experiencias
  5. 5. Ecosistema de Ciberseguridad en Colombia Jorge Máquez, CEO EstudNET @jmarquezpacios Ing. Angélica Flórez, UPB Seccional Bucaramanga Investigadora Principal Colciencias nº 668 “Fortalecimiento de la ciberseguridad en instituciones del estado de la República de Colombia”
  6. 6. Estudio de Viabilidad para la Creación de un Observatorio Nacional de Ciberseguridad de Colombia (ONC_COL) Septiembre 9 de 2015 Sobre la convocatoria 668
  7. 7. Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en Colombia Convocatoria 668 Colciencias: Cofinanciar proyectos de innovación orientados al fortalecimiento de la Ciberseguridad a través de la generación, adaptación, dominio y utilización de nuevas tecnologías que permitan minimizar y contrarrestar los riesgos e incidentes de naturaleza cibernética de las instituciones del estado. Consultores internacionales Asesor Líder: Jorge Márquez Grupo Investigación Investigadora Principal: Ing. Angélica Flórez
  8. 8. Análisis del Ecosistema Ciberseguridad y Ciberdefensa en Colombia identificación de capacidades no cubiertas, las razones y la oportunidad de la creación del ONC_COL. Análisis de viabilidad técnica, legal y económica de la creación del ONC_COL. Validación con Stakeholders Socialización Participación en CONPES Plan de acción para la puesta en marcha hoja de ruta de acciones a corto, mediano y largo plazo y el estudio económico. Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en Colombia: ONC_COL 12/14-03/15 04/15-08/15 04/15-08/15 09/15-12/15
  9. 9. Componentes del Ecosistema de Ciberseguridad en Colombia Amenazas Activos Capacidades Relaciones Entidades Ecosistema de Ciberseguridad de Colombia Persona natural o jurídica considerado un agente activo o pasivoBienes, tangibles o intangibles de pertenencia de las Entidades Recursos con los cuales se cuentan o se requieren para lograr la gestión de las amenazas a las cuales se encuentran expuestos los activos Riesgo al cual se encuentran expuestos los activos Interacción entre los componentes
  10. 10. Entidades del Ecosistema de Ciberseguridad de Colombia Sector PúblicoSector Público Infraestructura CríticaInfraestructura CríticaCiudadaníaCiudadanía Centros de InvestigaciónCentros de Investigación AtacantesAtacantes Sector PrivadoSector Privado
  11. 11. Entidades ECC SECTOR PÚBLICOSECTOR PÚBLICO Entidades e instituciones del Estado de Colombia, de naturaleza pública, que tienen entre sus objetivos misionales funciones relacionadas al fortalecimiento de la Ciberseguridad y la Ciberdefensa.
  12. 12. Entidades ECC Conjunto de pequeñas, medianas y grandes empresas que hacen parte del eje productivo de la industria y de toda aquella otra persona jurídica de carácter no pública que participa del ecosistema. SECTOR PRIVADOSECTOR PRIVADO
  13. 13. Entidades ECC Conjunto de personas naturales residentes en territorio colombiano. CIUDADANÍACIUDADANÍA
  14. 14. Entidades ECC Entidades que prestan servicios esenciales los cuales son considerados como estratégicos del país. Ej: Servicios energéticos, financieros, entre otros. OPERADORES INFRAESTRUCTURA CRÍTICA OPERADORES INFRAESTRUCTURA CRÍTICA
  15. 15. Entidades del ECC Instituciones que realizan innovación e investigación en materia de Ciberseguridad, tales como universidades, centros tecnológicos, centros de excelencia, tanques de pensamiento, entre otros. CENTROS DE INVESTIGACIÓN CENTROS DE INVESTIGACIÓN
  16. 16. Entidades ECC Personas naturales o jurídicas que intentan acceder, interceptar o dañar un sistema informático afectando la integridad, confidencialidad y disponibilidad de los datos y los sistemas. ATACANTESATACANTES
  17. 17. Entidades ECC Sector Público Presidente Congreso Cancillería MinTIC MinDefensa MinJusticia MinHacienda MinCITCCOC CCP ColCERT DNP Fiscalía-CTI Rama Judicial Administración Pública CRC SIC SFC Infraestructura crítica DNI
  18. 18. Gran Empresa Infraestructuras Críticas Contratista TIC Independiente PYME Financiera Entidades ECC Sector Privado
  19. 19. Centros de InvestigaciónCentros de Investigación Centros de Innovación e Investigación Think Thank Centros de ExcelenciaAcademia Entidades ECC Colciencias
  20. 20. AtacantesAtacantes Empresas CompetidorasEmpresas Competidoras ContratistaContratista Grupo TerroristaGrupo Terrorista HackerHacker HacktivistaHacktivista Banda CriminalBanda Criminal Empleado SaboteadorEmpleado Saboteador Entidades ECC
  21. 21. Fortalecimiento de las capacidades MEDIDAS ORGANIZA. • Agencia coordinadora • Visión integral • Marco institucional claro • Política de protección de las infraestructuras críticas • Política de Estado integral y de largo plazo • Enfoque global basado en riesgos • Coordinación de todos los actores clave con responsabilidad en el ámbito de la Ciberseguridad • Fortalecimiento de las entidades actuales operativas: ColCERT, CCP y CCOC • Creación de una entidad Observatorio de Ciberseguridad: diagnóstico, métricas, sensibilización, capacitación y acreditación MEDIDAS TECNOLÓGICAS • Centros de operaciones: sólida capacidad analítica y herramientas técnicas • Capacidad analítica, análisis avanzado de datos • Centros de excelencia en Ciberseguridad
  22. 22. Fortalecimiento de las capacidades MEDIDAS LEGALES • Adhesión al Convenio Budapest • Normativa que armonice la inteligencia vs privacidad • Optimizar los protocolos y medios para la conservación de la evidencia digital • Implementar legislativamente la retención mandatoria de datos de tráfico • Protocolo internacional de persecución ciberdelitos (Red 24/7) • Fiscales y jueces especializados en ciberdelitos • Capacitación para jueces, fiscales y policías • Obligación reporte incidentes en Infraestructuras Críticas MEDIDAS DE CAPACITACIÓN • Elaborar una estrategia de capacitación en Ciberseguridad en colaboración con el sector privado, la academia y el sector público. • Mesa Nacional del talento en Ciberseguridad con participación público- privada • Estrategia para la detección, atracción y desarrollo del talento en Ciberseguridad MEDIDAS DE COOPERACIÓN • Canales de intercambio bidireccional de información para el CCOC-CCP-ColCERT • Cooperación entre el sector público y privado • Colaboración institucional con las entidades operadoras de infraestructuras críticas • Involucrar a todos los interesados en el desarrollo de la estrategia y su implementación • Estrategia escrita para la cooperación internacional
  23. 23. Visión del ECC en el sector financiero Jorge Márquez, CEO EstudNET @jmarquezpacios Consultor internacional Colciencias nº 668 “Fortalecimiento de la ciberseguridad en instituciones del estado de la República de Colombia”
  24. 24. Cliente centro ECC Financiero Operadores Infraestructuras Críticas Actores: “buenos, malos y reguladores” Empleados ColaboradoresProveedores Socios Reguladores Superintendencia Financiera Superintendencia Comercio Industria Poder Legislativo Entidades Gobierno MinDEF MinTIC … Rama Judicial
  25. 25. Cliente Operadores Infraestructuras Críticas Empleados ColaboradoresProveedores Socios Cibercriminales Bandas Crimínales Organizadas Hacktivistas Agentes maliciosos internos Grupos Terroristas Reguladores Superintendencia Financiera Superintendencia Industria Poder Legislativo Entidades Gobierno MinDEF MinTIC … Rama Judicial Empresas Estados Actores: “buenos, malos y reguladores”
  26. 26. Datos personales Clientes, Empleados, Colaboradores Activos financieros Clientes, Entidad financiera Activos en riesgo Datos financieros Clientes, Entidad financiera Información del negocio Entidad financiera Infraestructura Física Edificios, Oficinas Infraestructura Tecnológica Aplicaciones Redes, Plataformas Recursos Humanos Empleados, Colaboradores
  27. 27. Datos personales Clientes, Empleados, Colaboradores Activos financieros Clientes, Entidad financiera Amenazas Datos financieros Clientes, Entidad financiera Información del negocio Entidad financiera Infraestructura Física Edificios, Oficinas Infraestructura Tecnológica Redes, Plataformas Recursos Humanos Funcionarios, Colaboradores Ciberespionaje Phising Amenazas Persistentes Avanzadas APT Ataques Sabotajes Infección malware Ingeniería Social Extorsión Robo y difusión datos personales Lavado Dinero Clonación Tarjetas
  28. 28. Evaluación y construcción de capacidades de Ciberseguridad en el sector financiero
  29. 29. Capacidades en Ciberseguridad Índice Mundial de Ciberseguridad (IMC), de la Unión Internacional de Telecomunicaciones (UIT), proporciona un esquema metodológico de identificación y evaluación de las capacidades necesarias para enfrentar con éxito los riesgos cibernéticos. 30 El IMC evalúa el compromiso de un país con la Ciberseguridad con "el objetivo de fomentar la cultura de la Ciberseguridad y su integración en el núcleo de las tecnologías de la información y la comunicación".
  30. 30. 31 ¿Cual es el grado de preparación de Colombia? Colombia ocupa el 9º lugar a nivel mundial. IMC 2014
  31. 31. 32 ¿Cuáles son las capacidades clave? Medidas Organizativas 0,750 • Política • Hoja de Ruta • Organismo responsable • Análisis comparativos nacionales Capacitación 0,750 • Talento • Certificación profesional • Certificación Organismos Medidas Legales 0,750 • Legislación penal • Reglamentación y conformidad Medidas Técnicas 0,500 • EIII/EIEI/EIISI • Normas • Certificación Cooperación 0,250 • Cooperación intraestatal • Cooperación intraorganismos • Asociaciones público-privadas • Cooperación internacional
  32. 32. Voz del Cliente: percepción de riesgos a la seguridad y la privacidad
  33. 33. ¿Cual es la percepción del consumidor? 10
  34. 34. ¿Canales bancarios más vulnerables?
  35. 35. Mejores practicas para el fortalecimiento de capacidades
  36. 36. Visión Sistema de gestión integrado Análisis de Riesgos Métricas BYOD Alcance • Localizaciones, Uds. Organizativas • Activos: Datos, hw, sw, redes, RRHH, servicios • Amenazas • BYOD Buenas practicas • Sensibilización y capacitación • Cooperación sectorial e institucional Retos • Privacidad vs Cloud, BigData.. • Cultura de Seguridad Capacidad clave Crear una estrategia de Ciberseguridad 7
  37. 37. Visión Competencias clave Modelo recursos int. vs externo Desarrollo seguro Alcance • Evaluación de competencias • Captación, desarrollo y fidelización Buenas practicas • Reclutamiento hackers • Hackatons, Retos, Premios, … Retos • “Adelantarse a los malos” • Entender motivaciones Capacidad Clave Gestionar el Talento de Ciberseguridad 8
  38. 38. Visión Enfoque Negocio Análisis y evaluación Controles Métricas Alcance • Estrategias de gestión de riesgos • Inversión vs niveles de riesgo • Vulnerabilidades 0Day y propias Buenas practicas • Sensibilizar a los Clientes • Transferir riesgos a terceros Retos • Anticipación amenazas • Aprender de los incidentes Capacidad Clave 7 Gestionar los Riesgos
  39. 39. Visión Resiliencia Compromisos de recuperación Riesgo legal y reputacional Alcance • Planes de contingencia • Ejercicios y evaluación • Cumplimiento normatividad Buenas practicas • Cooperación c/ Socios • Aprender de los incidentes Retos • Coste de redundancia • Reporting institucional Capacidad Clave Continuidad de Negocio 8
  40. 40. “¿Cómo“¿Cómo“¿Cómo“¿Cómo podemos utilizar lapodemos utilizar lapodemos utilizar lapodemos utilizar la tecnología paratecnología paratecnología paratecnología para dardardardar más seguridad amás seguridad amás seguridad amás seguridad a los ciudadanos?”los ciudadanos?”los ciudadanos?”los ciudadanos?” Presidente Juan Manuel Santos #Andicom30

×